Collecter les journaux Microsoft SQL Server
Ce document explique comment collecter les journaux Microsoft SQL Server à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion MICROSOFT_SQL.
Configurer les journaux Microsoft SQL Server à l'aide de l'agent NxLog
- Accédez à services.msc et arrêtez le service nxlog.
- Accédez à
C:\Program Files (x86)\nxlog\dataet supprimezconfigcache.dat. - Pour l'agent Windows, accédez à l'emplacement d'installation
C:\Program Files (x86)\nxlog\conf. Copiez et collez la configuration suivante dans le fichier
nxlog.conf.Il s'agit d'un exemple de fichier de configuration. Consultez le manuel de référence nxlog pour en savoir plus sur les options de configuration.
Définissez
ROOTsur le dossier dans lequel vous avez installé NXLog. Sinon, NXLog ne démarrera pas.#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>Remplacez les éléments suivants :
- FILE_PATH : emplacement du journal d'erreurs Microsoft SQL
- FORWARDER_IP_ADDRESS : adresse IP du redirecteur Google SecOps
- PORT_NUMBER : un numéro de port élevé
Démarrez le service NXLog depuis
services.msc.Les journaux de l'agent NxLog sont disponibles à l'adresse
C:\Program Files (x86)\nxlog\data\nxlog.log.Pour en savoir plus sur la configuration et les options des fichiers journaux d'erreurs SQL, consultez la section Services SCM : configurer les journaux d'erreurs SQL Server dans la documentation Microsoft.
Configurer le redirecteur Google SecOps pour ingérer les journaux Microsoft SQL Server
- Dans le menu Google SecOps, sélectionnez Settings> Forwarders> Add new forwarder (Paramètres > Relais > Ajouter un relais).
- Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
- Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
- Dans le champ Type de journal, saisissez
Microsoft SQL Server. - Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée suivants :
- Protocole : protocole de connexion utilisé par le collecteur pour écouter les données syslog.
- Adresse : adresse IP ou nom d'hôte cible où réside le collecteur et où il écoute les données syslog.
- Port : port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les répartiteurs Google SecOps, consultez Gérer les configurations des répartiteurs dans l'interface utilisateur Google Security Operations.
Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.
Étapes suivantes
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.